本文介紹網路端點的概念、配置和常見用法。
基礎介紹
網路端點(Network Access Endpoint)是IDaaS EIAM執行個體進行網路訪問的載體,分為专属端点和共享端点。专属端点需要購買後才可使用(專屬端點計費說明),共享端点可以免費使用。
专属端点
专属端点是您的EIAM執行個體獨享的網路端點,本質上是您的EIAM執行個體持有您VPC中的一個ENI,您可以針對該ENI設定安全性群組規則或網路設定,從而實現EIAM執行個體的專屬私網訪問或專屬公網訪問。
專屬私網訪問
EIAM執行個體通過私網串連到您的阿里雲VPC後,無需開放公網連接埠即可實現AD/LDAP/應用的資料同步以及AD/LDAP的委託認證。下面以AD為例,展示針對不同網路規劃的支援方式,以供您參考。
AD和ENI屬於同一個阿里雲VPC
如果您的AD網域服務器和EIAM持有的ENI同屬於一個阿里雲VPC,此時您需要採用如下網路ACL方式:
AD網域服務器所屬安全性群組允許存取ENI的IP。
AD和ENI屬於不同阿里雲VPC
如果您的AD網域服務器和EIAM持有的ENI同屬於不同的阿里雲VPC,此時您需要採用如下網路ACL方式:
通過CEN連通不同的阿里雲VPC。
AD網域服務器所屬的安全性群組允許存取ENI的IP。
AD屬於線下IDC或其它雲端服務廠商
如果您的AD與伺服器屬於自己的線下IDC或者其它雲端服務廠商,此時您需要採用如下網路ACL方式:
通過專線(VPN等)拉通阿里雲側VPC和AD網域服務器所屬的IDC或其他雲端服務廠商。
AD網域服務器所在的防火牆允許存取ENI的IP。
專屬公網訪問
EIAM執行個體通過私網串連到您的阿里雲VPC後,您可以為EIAM所持有的ENI綁定Elastic IP Address或者為您的阿里雲VPC綁定公網NAT Gateway,從而讓EIAM執行個體可以使用您的公網IP訪問公網。您可以將此公網IP作為企業微信的可信IP,從而滿足企業微信的相關要求。
共享端点
共用端點是EIAM執行個體進行網路訪問時預設使用的網路端點,所有EIAM執行個體共用。僅支援訪問公網。
兩種端點的對比
能力項
专属端点
共享端点
使用專屬IP訪問私網
支援
不支援
使用專屬IP訪問公網
支援
不支援
使用共用IP訪問公網
不支援
支援
網路端點資源所有權(ENI、安全性群組等)
您的阿里雲主帳號
IDaaS團隊
是否預設即可使用
否
是
是否免費
否
是
網路端點支援情況
下表是目前各功能模組的網路端點支援情況。各模組預設使用共用端點,如需變更需手動切換。
功能模組
专属端点-私網訪問
专属端点-公網訪問
共享端点-公網訪問
DingTalk入方向身份提供方
不支援
不支援
支援
DingTalk出方向身份提供方
不支援
不支援
支援
AD入方向身份提供方
支援
支援
支援
LDAP入方向身份提供方
支援
支援
支援
企業微信入方向身份提供方
不支援
支援
不支援
應用市場應用
暫不支援
暫不支援
支援
SAML應用
單點登入情境:不依賴專屬端點;
同步資料情境:支援使用專屬端點進行訪問。
支援
OIDC應用
支援
自研應用
暫不支援
暫不支援
支援
添加專屬端點
在网络端点頁簽中執行以下操作:
建立服務關聯角色(SLR)
訪問网络端点頁面或添加专属端点時,如當前不存在服務關聯角色,需要先建立IDaaS EIAM服務關聯角色。阿里雲主帳號或擁有
AliyunIDaaSEiamFullAccess許可權的阿里雲使用者才可執行此操作。
升級或升配執行個體
當執行個體的专属端点數量少於专属端点配額時,您才可以建立专属端点。专属端点配額需單獨購買。
說明目前每個EIAM執行個體最多支援1個专属端点。
選擇資源
單擊添加专属端点,並填寫相關資訊。
显示名称:专属端点的顯示名稱,僅在控制台中展示。
选择地域:選擇希望串連的專用網路所在的地區。
选择专有网络:選擇當前地區下的專用網路。如果您需要私網訪問AD/LDAP/應用等服務,請選擇這些服務所在的或可以訪問這些服務的專用網路。
选择交换机:選擇當前專用網路下的交換器。交換器的可用IP數需大於2個,且不可使用33網段。最多選擇2個交換器。
重要添加专属端点後,不支援修改地區、專用網路、交換器等資訊,請確認後填寫。
強烈建議選擇2個不同可用性區域的交換器,以增強容災能力。
確認無誤後,單擊确定即可開始添加专属端点。
添加完成後,還需進行如下配置,才可正式使用专属端点:
如需實現專屬私網訪問,請授權私網訪問。
如需實現專屬公網訪問,請配置專屬公網出口IP。
授權私網訪問
在网络端点頁簽中,單擊目標专属端点下的授权私网访问。
擷取訪問規則。在授权私网访问彈窗中,複製授權對象。授權對象中彙總了當前专属端点的所有專屬私網出口IP。
配置安全性群組訪問規則。單擊前往添加,前往,在頁面中選擇需要私網訪問的服務所在的安全性群組。
說明以AD為例,需要選擇的是AD網域服務器所在的屬於您的安全性群組(不同網路規劃的支援方式請見專屬私網訪問),而非由EIAM建立的安全性群組。
單擊安全性群組ID/名稱,進入安全性群組。在中單擊手動添加。
在新增的訪問規則中填寫如下內容並儲存:
授權策略:允許。
優先順序:1。
協議類型:自訂TCP。
連接埠範圍:填寫您的服務的連接埠範圍。如果串連的是AD/LDAP,一般使用389或636。
授權對象:在上一步中複製的專屬私網出口IP地址。
配置專屬公網出口 IP
通過公網NAT Gateway配置,實現EIAM執行個體通過您指定的IP訪問公網,您可以將此公網IP作為企業微信的可信IP,從而滿足企業微信的相關校正。
查看專屬網路地區
在网络端点頁簽中,查看目標专属端点下的专有网络地域。
綁定Elastic IP Address
在專用網路-公網NAT Gateway中,選擇和專用網路地區相同的地區下的公網NAT Gateway,單擊立即綁定Elastic IP Address,開始繫結資料流程。
如無可用資源請提前建立公網NAT Gateway。詳情請參見:建立公網NAT Gateway。
您可以從已有的Elastic IP Address中選擇,也可以直接新購併綁定Elastic IP Address。
綁定成功後,進入公網NAT Gateway頁面,單擊執行個體ID/名稱。
如果您當前執行個體下沒有SNAT條目,請參考建立和管理SNAT條目,之後專屬端點即可支援公網訪問能力。
警告未配置SNAT條目將導致專屬端點無法通過公網訪問。
在网络端点頁簽下的专属公网出口IP,單擊点击查看即可查看當前专属端点使用的公網IP。
切換專屬端點訪問
進入身份提供方頁面,單擊目標身份提供方下的修改,即可修改基礎配置(以AD為例)。
配置专属端点。在中。
選擇专属端点類型。
從下拉框選取已綁定专属公网出口IP的端點(支援彈性網卡或公網NAT Gateway的IP)。
提交校正。單擊确定後,系統將立即驗證:
校正要求:所有關聯的彈性網卡(最多2張)均需能成功訪問AD服務。
若校正通過:自動切換至专属端点。
若校正失敗:提示錯誤資訊,需檢查網路連通性。
您可以單擊專屬公網出口IP中的立即查看所使用的網關IP。
校正通過將立即切換為专属端点進行訪問,建議提前使用測試環境進行驗證。且付費執行個體到期釋放或退訂時,專屬端點將立即不可用,並在一天后自動被刪除。如需使用共用端點或其他專屬端點,需手動切換。建議在刪除前修改您的服務中的網路訪問白名單配置。
修改专属端点
专属端点僅支援修改显示名称。如需修改其他資訊,需刪除後重新設定。